Fortify SCA 集成生态
1、 灵活的部署选项 支持“应用安全即服务”、内部或云端部署
2、集成开发环境(IDE) Eclipse、Visual Studio、JetBrains(包括 IntelliJ)
3、 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild
4、 问题 Bugzilla, Jira, ALM Octane
5、开源安全管理 Sonatype, Snyk, WhiteSource, BlackDuck
6、 代码库 GitHub, Bitet
7、 定制的 Swaggerized API
Fortify “Source Code Viewer(源代码查看器)”面板:
“Source Code Viewer(源代码查看器)”面板显示了与在“Issues(问题)”面板中选择的问题相关联的代码段。如果“Analysis Trace(分析跟踪)”面板中的多个节点代表一个问题,则“Source Code Viewer(源代码查看器)”面板会显示与所选节点相关联的代码。
在“Source Code Viewer(源代码查看器)”面板中,您可以使用代码辅助功能创建自定义规则和新问题,如下所示:
要为某个函数创建规则,请将光标放在该函数中,单击鼠标右键,然后选择 Write Rule for This Function(为此函数编写规则)。
要创建新问题,请将光标放在该函数中,单击鼠标右键,然后选择 Create New Issue(创建新问题)。
Fortify扫描Android项目
使用插件扫描是一个比较推荐的方式,Fortify,因为操作简单,且环境可靠不需要重新配置。
首先肯定是获取插件,我们需要从安装Fortify开始。如果已经安装了也不要紧,Fortify扫描,直接点击安装到原有目录即可,Fortify会自动适配的。安装步骤基本都使用默认选项,但是在选择组件的环节,我们要记得勾选上我们需要的插件。
上图中红框是给Android Studio使用的插件,Fortify新版本,是本小节需要使用到的。第二个红框则是一个Visual Studio的插件,后面会用到,Fortify试用,这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装,版本也不要选错)。安装后,可以在Fortify安装目录下的plugins﹨IntelliJAnalysis目录中找到我们需要的插件。
然后是第二步,将插件安装到Android Studio上。在Android Studio中打开插件的界面,选择设置的图标,然后选择Install Plugin from Disk...选项,选中前面说到的插件文件。然后重启Android Studio即可生效。
生效后我们可以在Android Studio的标题栏中找到Fortify选项,在Fortify->Analysis Settings...选项中,我们可以配置该插件扫描源码的规则和配置。
蕞后,我们点击Fortify->Analyze Project选项,即可扫描项目并在项目的根目录生成fpr文件
以上所展示的信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责。东商网对此不承担任何责任。
友情提醒:为规避购买风险,建议您在购买相关产品前务必确认供应商资质及产品质量。推荐使用第三方支付!